國(guó)家檔案局
2013年7月
目 錄
1.工作背景 2
2.適用范圍 2
3.編制依據(jù) 2
4.檔案信息系統(tǒng)類(lèi)型的劃分 3
5.檔案信息系統(tǒng)的定級(jí) 4
5.1檔案信息系統(tǒng)的定級(jí)原則 4
5.2檔案信息系統(tǒng)安全保護(hù)等級(jí)的劃分 5
5.2.1受侵害客體 5
5.2.2對(duì)客體侵害程度的劃分 5
5.2.3檔案信息系統(tǒng)安全等級(jí)的劃分 6
5.3檔案信息系統(tǒng)安全保護(hù)等級(jí)確定的方法 6
5.3.1確定定級(jí)對(duì)象 7
5.3.2確定受侵害的客體 7
5.3.3確定對(duì)客體的侵害程度 7
5.3.4確定檔案信息系統(tǒng)的安全保護(hù)等級(jí) 8
5.3.5編制定級(jí)報(bào)告 10
6.評(píng)審 10
7.備案與報(bào)備 11
8.等級(jí)變更 11
附錄1《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》模版 12
附錄2《信息系統(tǒng)安全等級(jí)保護(hù)備案表》 14
1. 工作背景
1994年國(guó)務(wù)院頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》規(guī)定,,計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級(jí)保護(hù),公安部主管全國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)工作,。近年來(lái),,公安部會(huì)同有關(guān)部門(mén)組織制訂了一系列有關(guān)計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)的規(guī)章和標(biāo)準(zhǔn),,加強(qiáng)了對(duì)重點(diǎn)行業(yè)信息系統(tǒng)安全等級(jí)保護(hù)工作的監(jiān)督、檢查和指導(dǎo),,并于2011年建立了54個(gè)行業(yè)主管部門(mén)參加的等級(jí)保護(hù)聯(lián)絡(luò)員制度,,檔案行業(yè)為其中之一。
隨著檔案信息化進(jìn)程的不斷加快,,檔案部門(mén)通過(guò)檔案信息系統(tǒng)管理的數(shù)字檔案資源越來(lái)越多,,提高檔案信息系統(tǒng)的安全防護(hù)能力和水平,,已經(jīng)成為加強(qiáng)檔案信息安全管理、促進(jìn)檔案事業(yè)健康發(fā)展的一項(xiàng)重要內(nèi)容,。為做好檔案信息系統(tǒng)安全等級(jí)保護(hù)工作,,國(guó)家檔案局編制《檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作指南》(以下簡(jiǎn)稱(chēng)《指南》),以指導(dǎo)檔案信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)工作,。
2. 適用范圍
本《指南》是檔案信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的操作規(guī)范,,適用于省級(jí)(含計(jì)劃單列市、副省級(jí)市,,下同)及以上檔案行政管理部門(mén)及國(guó)家綜合檔案館非涉密信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作,。地市級(jí)檔案局館和其他檔案館可參照?qǐng)?zhí)行。
3. 編制依據(jù)
本《指南》的編制主要依據(jù)以下標(biāo)準(zhǔn),、規(guī)范:
●《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)
●《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)〔2003〕27號(hào))
●《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字〔2004〕66號(hào))
●《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))
●《關(guān)于開(kāi)展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》(公信安〔2007〕861號(hào))
●《數(shù)字檔案館建設(shè)指南》(檔辦〔2010〕116號(hào))
●《各級(jí)國(guó)家檔案館館藏檔案解密和劃分控制使用范圍的暫行規(guī)定》(國(guó)家檔案局,、國(guó)家保密局1992年)
●《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(GB 17859—1999)
●《信息安全技術(shù) 信息安全事件分類(lèi)分級(jí)指南》(GB/Z 20986—2007)
●《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240—2008)
●《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239—2008)
4. 檔案信息系統(tǒng)類(lèi)型的劃分
檔案信息系統(tǒng)是指開(kāi)展檔案業(yè)務(wù)所使用的檔案信息管理系統(tǒng)、檔案信息服務(wù)系統(tǒng)和檔案辦公系統(tǒng)等三類(lèi)信息管理系統(tǒng),。
?。?)檔案信息管理系統(tǒng)類(lèi)包括檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng),、數(shù)字檔案管理系統(tǒng),、檔案數(shù)字化加工系統(tǒng)等;
?。?)檔案信息服務(wù)系統(tǒng)類(lèi)包括檔案利用服務(wù)系統(tǒng),、檔案網(wǎng)站系統(tǒng)等;
?。?)檔案辦公系統(tǒng)類(lèi)包括承擔(dān)檔案工作管理的檔案局館辦公業(yè)務(wù)系統(tǒng)等,。
檔案信息系統(tǒng)的基本功能描述如表1。
表1 檔案信息系統(tǒng)基本功能描述
|
統(tǒng)類(lèi)別
|
系統(tǒng)名稱(chēng)
|
管理對(duì)象
|
網(wǎng)絡(luò)環(huán)境
|
基本功能
|
|
檔案信息管理系統(tǒng)
|
檔案目錄管理系統(tǒng)
|
案卷級(jí)目錄,、文件級(jí)目錄,、專(zhuān)題目錄等
|
局域網(wǎng)
|
目錄數(shù)據(jù)采集、整理,、檢索,、統(tǒng)計(jì)等
|
|
數(shù)字檔案接收系統(tǒng)
|
數(shù)字檔案接收工作
|
局域網(wǎng)
政務(wù)外網(wǎng)
|
檔案接收、業(yè)務(wù)指導(dǎo),,檔案數(shù)量,、質(zhì)量檢查,交接手續(xù)辦理等
|
|
數(shù)字檔案管理系統(tǒng)
|
館藏檔案數(shù)字化成果,、接收進(jìn)館的電子檔案,、采集接收的數(shù)字信息資源等
|
局域網(wǎng)
政務(wù)外網(wǎng)
|
數(shù)字檔案資源的接收、導(dǎo)入,、整理,、鑒定,、審計(jì)、統(tǒng)計(jì)和長(zhǎng)期保存等,,部分系統(tǒng)同時(shí)具有檔案目錄管理,、利用服務(wù)等功能
|
|
檔案數(shù)字化加工系統(tǒng)
|
傳統(tǒng)載體檔案、檔案數(shù)字化成果
|
局域網(wǎng)
|
對(duì)各類(lèi)傳統(tǒng)載體檔案的數(shù)字化處理,、數(shù)據(jù)質(zhì)量控制和數(shù)據(jù)統(tǒng)計(jì),、備份、導(dǎo)出等
|
|
檔案信息服務(wù)系統(tǒng)
|
檔案利用服務(wù)系統(tǒng)
|
通過(guò)政務(wù)外網(wǎng)提供的目錄及其數(shù)字檔案信息
|
政務(wù)外網(wǎng)
|
數(shù)據(jù)導(dǎo)入,、用戶(hù)注冊(cè),、權(quán)限管理、檔案檢索服務(wù),、數(shù)字檔案閱覽服務(wù)及利用檔案審核,、利用統(tǒng)計(jì)等
|
|
檔案網(wǎng)站系統(tǒng)
|
公開(kāi)檔案目錄、全文,,公開(kāi)政務(wù)信息等
|
因特網(wǎng)
|
用戶(hù)注冊(cè),、權(quán)限管理、信息發(fā)布,、統(tǒng)計(jì)等,,部分系統(tǒng)同時(shí)具備政務(wù)信息公開(kāi)的功能
|
|
檔案辦公系統(tǒng)
|
辦公業(yè)務(wù)系統(tǒng)
|
檔案局館檔案工作管理辦公業(yè)務(wù)
|
局域網(wǎng)
政務(wù)外網(wǎng)
|
公文制發(fā)、文件處理,、工作督查、事務(wù)管理,、會(huì)務(wù)管理,、內(nèi)部郵件收發(fā)或其他輔助辦公功能
|
5. 檔案信息系統(tǒng)的定級(jí)
5.1檔案信息系統(tǒng)的定級(jí)原則
自主定級(jí)原則。檔案信息系統(tǒng)使用單位按照國(guó)家相關(guān)法規(guī),、標(biāo)準(zhǔn)和本《指南》要求,,自主確定檔案信息系統(tǒng)的安全保護(hù)等級(jí),自行組織實(shí)施安全保護(hù),。
重點(diǎn)保護(hù)原則,。根據(jù)重要程度和業(yè)務(wù)特點(diǎn),將檔案信息系統(tǒng)劃分為不同等級(jí),,實(shí)施不同強(qiáng)度的安全保護(hù),,集中資源,優(yōu)先保護(hù)涉及重要數(shù)字檔案資源的信息系統(tǒng),。
動(dòng)態(tài)保護(hù)原則,。根據(jù)檔案信息系統(tǒng)管理對(duì)象、服務(wù)范圍等方面的變化,,重新確定安全保護(hù)等級(jí),,及時(shí)調(diào)整安全保護(hù)措施,。
同步建設(shè)原則。檔案信息系統(tǒng)在新建,、改建,、擴(kuò)建時(shí)應(yīng)當(dāng)同步規(guī)劃和設(shè)計(jì)安全方案,投入一定比例的資金建設(shè)信息安全設(shè)施,,保障檔案信息安全與檔案信息化建設(shè)相適應(yīng),。
5.2檔案信息系統(tǒng)安全保護(hù)等級(jí)的劃分
5.2.1受侵害客體
受侵害客體是指受法律保護(hù)對(duì)象受到破壞時(shí)所侵害的社會(huì)關(guān)系,主要包括國(guó)家安全,;社會(huì)秩序,、公共利益;公民,、法人和其他社會(huì)組織的合法權(quán)益等三方面,。
確定檔案信息系統(tǒng)受到破壞后所侵害的客體時(shí),應(yīng)首先判斷是否侵害國(guó)家安全,,然后判斷是否侵害社會(huì)秩序,、公共利益,最后判斷是否侵害公民,、法人和其他社會(huì)組織的合法權(quán)益,。
5.2.2對(duì)客體侵害程度的劃分
等級(jí)保護(hù)對(duì)象受到破壞后對(duì)客體造成侵害的程度有三種:
(1)造成一般損害
工作職能受到局部影響,,業(yè)務(wù)能力有所降低但不影響主要功能的執(zhí)行,,出現(xiàn)較輕的法律問(wèn)題、較小的財(cái)產(chǎn)損失,、有限的社會(huì)不良影響,,對(duì)其他組織和個(gè)人造成較低損害。
?。?)造成嚴(yán)重?fù)p害
工作職能受到嚴(yán)重影響,,業(yè)務(wù)能力顯著下降且嚴(yán)重影響主要功能執(zhí)行,出現(xiàn)較嚴(yán)重的法律問(wèn)題,、較大的財(cái)產(chǎn)損失,、較大范圍的社會(huì)不良影響,對(duì)其他組織和個(gè)人造成較嚴(yán)重?fù)p害,。
?。?)造成特別嚴(yán)重?fù)p害
工作職能受到特別嚴(yán)重影響或喪失行使能力,業(yè)務(wù)能力嚴(yán)重下降且或功能無(wú)法執(zhí)行,,出現(xiàn)極其嚴(yán)重的法律問(wèn)題,、極大的財(cái)產(chǎn)損失、大范圍的社會(huì)不良影響,,對(duì)其他組織和個(gè)人造成非常嚴(yán)重?fù)p害,。
5.2.3檔案信息系統(tǒng)安全保護(hù)等級(jí)
根據(jù)國(guó)家有關(guān)信息系統(tǒng)安全保護(hù)等級(jí)的相關(guān)規(guī)定和標(biāo)準(zhǔn),,從低到高依次劃分為自主保護(hù)級(jí)、指導(dǎo)保護(hù)級(jí),、監(jiān)督保護(hù)級(jí),、強(qiáng)制保護(hù)級(jí)、專(zhuān)控保護(hù)級(jí)五個(gè)安全等級(jí):
第一級(jí),,自主保護(hù)級(jí),。檔案信息系統(tǒng)受到破壞后,會(huì)對(duì)公民,、法人和其他組織的合法權(quán)益造成損害,,但不損害國(guó)家安全、社會(huì)秩序和公共利益,。
第二級(jí),,指導(dǎo)保護(hù)級(jí)。檔案信息系統(tǒng)受到破壞后,,會(huì)對(duì)公民,、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,或者對(duì)社會(huì)秩序和公共利益造成損害,,但不損害國(guó)家安全,。
第三級(jí),監(jiān)督保護(hù)級(jí),。檔案信息系統(tǒng)受到破壞后,,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成損害,。
第四級(jí),,強(qiáng)制保護(hù)級(jí)。檔案信息系統(tǒng)受到破壞后,,會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,或者對(duì)國(guó)家安全造成嚴(yán)重?fù)p害,。
第五級(jí),,專(zhuān)控保護(hù)級(jí)。檔案信息系統(tǒng)受到破壞后,,會(huì)對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害,。
5.3 檔案信息系統(tǒng)安全保護(hù)等級(jí)確定的方法
檔案信息系統(tǒng)安全保護(hù)等級(jí)確定的步驟包括:確定定級(jí)對(duì)象,確定檔案信息系統(tǒng)受到破壞時(shí)受侵害的客體,,確定檔案信息系統(tǒng)受到破壞時(shí)對(duì)客體的侵害程度,,確定檔案信息系統(tǒng)的安全保護(hù)等級(jí),編制定級(jí)報(bào)告,。
5.3.1確定定級(jí)對(duì)象
根據(jù)本《指南》對(duì)檔案信息系統(tǒng)的劃分,,檔案部門(mén)對(duì)本單位檔案信息系統(tǒng)進(jìn)行梳理,,確定本單位應(yīng)定級(jí)的檔案信息系統(tǒng)。
5.3.2確定受侵害的客體
根據(jù)檔案行業(yè)特點(diǎn),,分析檔案信息系統(tǒng)受到破壞時(shí)所侵害的客體,,侵害的事項(xiàng)主要包括以下三個(gè)方面:
(1)國(guó)家安全方面,。檔案信息系統(tǒng)受到破壞后影響到有關(guān)國(guó)家政治,、經(jīng)濟(jì)、文化,、外交,、科技、民族,、宗教,、安全等檔案信息保管、利用,、發(fā)布,、展示的正常進(jìn)行,進(jìn)而損害國(guó)家政權(quán)穩(wěn)固,、國(guó)防建設(shè),、國(guó)家統(tǒng)一、民族團(tuán)結(jié)和社會(huì)安定,。
?。?)社會(huì)秩序、公共利益方面,。檔案信息系統(tǒng)受到破壞后影響數(shù)字檔案資源的真實(shí)性,、完整性和可用性,致使國(guó)家機(jī)關(guān)政務(wù)信息發(fā)布,、檔案業(yè)務(wù)開(kāi)展,、辦公等工作無(wú)法正常進(jìn)行,進(jìn)而侵害社會(huì)正常生產(chǎn),、生活秩序和公眾獲取公開(kāi)信息資源,、使用公共設(shè)施、接受公共服務(wù)等方面的合法權(quán)益,。
?。?)公民、法人和其他組織的合法權(quán)益方面,。檔案信息系統(tǒng)受到破壞后影響到檔案的移交,、接收、管理、保存,、查閱,、利用、獲取,、公布,、展示、捐贈(zèng)等工作的正常進(jìn)行,,進(jìn)而侵害公民,、法人和其他組織的隱私、知識(shí)產(chǎn)權(quán),、物權(quán),、信息獲取等方面的合法權(quán)益。
5.3.3確定對(duì)客體的侵害程度
檔案信息系統(tǒng)受到破壞后,,對(duì)客體的侵害程度與信息系統(tǒng)所屬單位的行政級(jí)別,、所管理信息的重要敏感程度以及信息系統(tǒng)的影響范圍有關(guān)。分別描述如下:
國(guó)家級(jí) “數(shù)字檔案管理系統(tǒng)”所管理的檔案記錄了過(guò)去和現(xiàn)在的國(guó)家政權(quán)的歷史真實(shí)面貌,,對(duì)國(guó)家歷史,、現(xiàn)在與未來(lái)具有不可或缺的重要作用,社會(huì)影響極大,。這些系統(tǒng)受到破壞,,可能直接造成國(guó)家檔案的損失,對(duì)國(guó)家安全造成一般損害或嚴(yán)重?fù)p害,,對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,。
省級(jí) “數(shù)字檔案管理系統(tǒng)” 所管理的檔案記錄了過(guò)去和現(xiàn)在的省級(jí)黨政機(jī)構(gòu)的歷史真實(shí)面貌,對(duì)該地區(qū)歷史,、現(xiàn)在與未來(lái)具有不可或缺的重要作用,,社會(huì)影響重大。這些系統(tǒng)受到破壞,,可能直接造成該地區(qū)檔案的損失,,對(duì)國(guó)家安全造成一般損害,對(duì)社會(huì)秩序和公共利益造成一般損害或嚴(yán)重?fù)p害,。
國(guó)家級(jí) “檔案目錄管理系統(tǒng)”,、“數(shù)字檔案接收系統(tǒng)”、“檔案利用服務(wù)系統(tǒng)”包含有國(guó)家較高級(jí)別的敏感信息,,具有很大的社會(huì)影響力。這些系統(tǒng)受到破壞,,可能導(dǎo)致敏感檔案信息或政務(wù)信息的泄露或損失,,檔案管理和服務(wù)能力下降,對(duì)國(guó)家安全造成一般損害,,對(duì)社會(huì)秩序和公共利益造成一般損害或嚴(yán)重?fù)p害,,對(duì)公民,、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害。
省級(jí) “檔案目錄管理系統(tǒng)”,、“數(shù)字檔案接收系統(tǒng)”,、“檔案利用服務(wù)系統(tǒng)”包含的業(yè)務(wù)信息有一定的區(qū)域性和社會(huì)影響力。這些系統(tǒng)受到破壞,,可能造成本地區(qū)敏感檔案數(shù)字資源信息或政務(wù)信息泄露,,檔案管理和服務(wù)能力下降,對(duì)社會(huì)秩序和公共利益造成一般損害或嚴(yán)重?fù)p害,,對(duì)公民,、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害。
國(guó)家級(jí),、省級(jí) “檔案數(shù)字化加工系統(tǒng)”包含有較高級(jí)別的敏感信息,,但存儲(chǔ)檔案數(shù)量較少,這些系統(tǒng)受到破壞,,可能導(dǎo)致檔案業(yè)務(wù)能力下降,,給信息系統(tǒng)所屬單位造成一定損失,對(duì)單位權(quán)益造成嚴(yán)重?fù)p害,。
國(guó)家級(jí),、省級(jí) “檔案網(wǎng)站系統(tǒng)”、“檔案辦公系統(tǒng)”受到破壞,,不直接影響檔案管理業(yè)務(wù),,但可能造成公布信息的篡改、辦公效率的下降,,給信息系統(tǒng)所屬單位造成一定的財(cái)產(chǎn)損失,、經(jīng)濟(jì)糾紛、法律糾紛等,,對(duì)單位權(quán)益或社會(huì)秩序造成一般損害或嚴(yán)重?fù)p害,。
5.3.4確定檔案信息系統(tǒng)的安全保護(hù)等級(jí)
確定檔案信息系統(tǒng)安全保護(hù)等級(jí)時(shí)需要考慮業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩個(gè)方面,其中業(yè)務(wù)信息安全是指確保信息系統(tǒng)內(nèi)信息的真實(shí)性,、完整性和可用性等,,系統(tǒng)服務(wù)安全是指確保信息系統(tǒng)可以及時(shí)、有效地提供服務(wù),。
根據(jù)業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度,,可以形成業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表(表2),并可據(jù)此得到業(yè)務(wù)信息安全保護(hù)等級(jí),。
表2 業(yè)務(wù)信息安全保護(hù)等級(jí)矩陣表
|
業(yè)務(wù)信息安全被破壞時(shí)所侵害的客體
|
對(duì)相應(yīng)客體的侵害程度
|
|
一般損害
|
嚴(yán)重?fù)p害
|
特別嚴(yán)重?fù)p害
|
|
公民,、法人和其他組織的合法權(quán)益
|
第一級(jí)
|
第二級(jí)
|
第二級(jí)
|
|
社會(huì)秩序、公共利益
|
第二級(jí)
|
第三級(jí)
|
第四級(jí)
|
|
國(guó)家安全
|
第三級(jí)
|
第四級(jí)
|
第五級(jí)
|
根據(jù)系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體以及對(duì)相應(yīng)客體的侵害程度,可以形成系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表(表3),,并可據(jù)此得到系統(tǒng)服務(wù)安全保護(hù)等級(jí),。
表3 系統(tǒng)服務(wù)安全保護(hù)等級(jí)矩陣表
|
系統(tǒng)服務(wù)安全被破壞時(shí)所侵害的客體
|
對(duì)相應(yīng)客體的侵害程度
|
|
一般損害
|
嚴(yán)重?fù)p害
|
特別嚴(yán)重?fù)p害
|
|
公民、法人和其他組織的合法權(quán)益
|
第一級(jí)
|
第二級(jí)
|
第二級(jí)
|
|
社會(huì)秩序,、公共利益
|
第二級(jí)
|
第三級(jí)
|
第四級(jí)
|
|
國(guó)家安全
|
第三級(jí)
|
第四級(jí)
|
第五級(jí)
|
在確定檔案信息系統(tǒng)的安全保護(hù)等級(jí)時(shí),,應(yīng)按業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)的較高者定級(jí)。
確定檔案信息系統(tǒng)安全保護(hù)等級(jí),,應(yīng)在綜合分析檔案信息系統(tǒng)業(yè)務(wù)信息安全保護(hù)等級(jí)和系統(tǒng)服務(wù)安全保護(hù)等級(jí)基礎(chǔ)上,,主要通過(guò)考察所管理檔案信息的重要程度和敏感程度來(lái)確定。但是,,重要和敏感信息的數(shù)量與檔案信息系統(tǒng)所屬單位的行政級(jí)別存在一定關(guān)系,,一般來(lái)說(shuō),高行政級(jí)別單位的重要和敏感信息要多于低行政級(jí)別單位的重要和敏感信息,。為便于操作執(zhí)行,,對(duì)檔案目錄管理系統(tǒng)、數(shù)字檔案接收系統(tǒng),、數(shù)字檔案管理系統(tǒng),、檔案數(shù)字化加工系統(tǒng)、檔案利用服務(wù)系統(tǒng),、檔案網(wǎng)站系統(tǒng),、辦公業(yè)務(wù)系統(tǒng)等七種常用檔案信息系統(tǒng)安全保護(hù)等級(jí)建議如下:
表4 檔案信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)建議表
|
系統(tǒng)類(lèi)別
|
系統(tǒng)名稱(chēng)
|
行政級(jí)別
|
建議等級(jí)
|
|
檔案信息管理系統(tǒng)
|
檔案目錄管理系統(tǒng)
|
國(guó)家級(jí)
|
3或2
|
|
省級(jí)
|
3或2
|
|
數(shù)字檔案接收系統(tǒng)
|
國(guó)家級(jí)
|
3或2
|
|
省級(jí)
|
3或2
|
|
數(shù)字檔案管理系統(tǒng)
|
國(guó)家級(jí)
|
4或3
|
|
省級(jí)
|
3或2
|
|
檔案數(shù)字化加工系統(tǒng)
|
國(guó)家級(jí)
|
2
|
|
省級(jí)
|
2
|
|
檔案信息服務(wù)系統(tǒng)
|
檔案利用服務(wù)系統(tǒng)
|
國(guó)家級(jí)
|
3或2
|
|
省級(jí)
|
3或2
|
|
檔案網(wǎng)站系統(tǒng)
|
國(guó)家級(jí)
|
3或2
|
|
省級(jí)
|
2
|
|
檔案辦公系統(tǒng)
|
辦公業(yè)務(wù)系統(tǒng)
|
國(guó)家級(jí)
|
2
|
|
省級(jí)
|
2
|
檔案部門(mén)根據(jù)本單位檔案信息系統(tǒng)業(yè)務(wù)功能,參照本《指南》進(jìn)行定級(jí),。承載復(fù)雜業(yè)務(wù)和功能的檔案信息系統(tǒng)安全等級(jí)可高于建議等級(jí),,承載多個(gè)業(yè)務(wù)功能的檔案信息系統(tǒng),應(yīng)以其中最高安全等級(jí)進(jìn)行定級(jí),。未在表4中列出的檔案信息系統(tǒng),,可根據(jù)其承載的業(yè)務(wù)功能,參照本《指南》定級(jí),。
5.3.5編制定級(jí)報(bào)告
初步確定定級(jí)對(duì)象的安全保護(hù)等級(jí)后,,檔案信息系統(tǒng)使用單位應(yīng)編制定級(jí)報(bào)告(見(jiàn)附件 1)。
跨地區(qū)的檔案信息系統(tǒng)由該系統(tǒng)的主管部門(mén)統(tǒng)一確定安全保護(hù)等級(jí),。
6.評(píng)審
對(duì)檔案信息系統(tǒng)擬確定為第二級(jí)的,,由使用單位自行組織信息安全保護(hù)等級(jí)專(zhuān)家組進(jìn)行評(píng)審;對(duì)檔案信息系統(tǒng)擬確定為第三級(jí)的,,由使用單位請(qǐng)上一級(jí)檔案行政管理部門(mén)組織信息安全保護(hù)等級(jí)專(zhuān)家組進(jìn)行評(píng)審,;對(duì)檔案信息系統(tǒng)擬確定為第四級(jí)及以上的,由使用單位或上一級(jí)檔案行政管理部門(mén)請(qǐng)國(guó)家信息安全保護(hù)等級(jí)專(zhuān)家評(píng)審委員會(huì)評(píng)審,。使用單位參照評(píng)審意見(jiàn)確定檔案信息系統(tǒng)安全保護(hù)等
級(jí),,完成定級(jí)報(bào)告,。當(dāng)專(zhuān)家評(píng)審意見(jiàn)與檔案信息系統(tǒng)使用單位意見(jiàn)不一致時(shí),由使用單位自主決定檔案信息系統(tǒng)安全保護(hù)等級(jí),。
7.備案與報(bào)備
第二級(jí)及以上檔案信息系統(tǒng)在安全保護(hù)等級(jí)確定后30日內(nèi),由使用單位按規(guī)定到所在地的同級(jí)公安機(jī)關(guān)辦理備案手續(xù),。
備案時(shí)應(yīng)當(dāng)提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》(一式兩份,,見(jiàn)附件2)及其電子文檔。第二級(jí)及以上檔案信息系統(tǒng)備案時(shí)需提交《信息系統(tǒng)安全等級(jí)保護(hù)備案表》中的表一,、二,、三。
檔案信息系統(tǒng)安全保護(hù)等級(jí)備案完成后,,使用單位應(yīng)該向上一級(jí)檔案行政管理部門(mén)報(bào)備定級(jí)情況,,并附《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》副本及公安部門(mén)出具的《信息安全等級(jí)保護(hù)備案證明》副本。
8.等級(jí)變更
在檔案信息系統(tǒng)的運(yùn)行過(guò)程中,,信息系統(tǒng)安全保護(hù)等級(jí)應(yīng)隨著信息系統(tǒng)所處理的信息和業(yè)務(wù)狀態(tài)的變化進(jìn)行適當(dāng)?shù)淖兏?。?dāng)狀態(tài)變化可能導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)安全受到破壞,并且受侵害客體和對(duì)客體的侵害程度有較大的變化時(shí),,應(yīng)由信息系統(tǒng)使用單位負(fù)責(zé)進(jìn)行系統(tǒng)重新定級(jí),。重新定級(jí)后,應(yīng)按要求向公安機(jī)關(guān)重新備案,,并完成向上一級(jí)檔案行政管理部門(mén)的報(bào)備工作,。
附件 1
《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》
一、XXX信息系統(tǒng)描述
簡(jiǎn)述確定該系統(tǒng)為定級(jí)對(duì)象的理由,。從三方面進(jìn)行說(shuō)明:一是描述承擔(dān)信息系統(tǒng)安全責(zé)任的相關(guān)單位或部門(mén),,說(shuō)明本單位或部門(mén)對(duì)信息系統(tǒng)具有信息安全保護(hù)責(zé)任,該信息系統(tǒng)為本單位或部門(mén)的定級(jí)對(duì)象,;二是該定級(jí)對(duì)象是否具有信息系統(tǒng)的基本要素,,描述基本要素、系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu),、系統(tǒng)邊界和邊界設(shè)備,;三是該定級(jí)對(duì)象是否承載著單一或相對(duì)獨(dú)立的業(yè)務(wù),業(yè)務(wù)情況描述,。
二,、XXX 信息系統(tǒng)安全保護(hù)等級(jí)確定
(一)業(yè)務(wù)信息安全保護(hù)等級(jí)的確定
1.業(yè)務(wù)信息描述
描述信息系統(tǒng)處理的主要業(yè)務(wù)信息等,。
2.業(yè)務(wù)信息受到破壞時(shí)所侵害客體的確定
說(shuō)明信息受到破壞時(shí)侵害的客體是什么,,即對(duì)三個(gè)客體(國(guó)家安全;社會(huì)秩序和公眾利益,;公民,、法人和其他組織的合法權(quán)益)中的哪些客體造成侵害,。
3.信息受到破壞后對(duì)侵害客體的侵害程度的確定
說(shuō)明信息受到破壞后,會(huì)對(duì)侵害客體造成什么程度的侵害,,即說(shuō)明是一般損害,、嚴(yán)重?fù)p害還是特別嚴(yán)重?fù)p害。
4.業(yè)務(wù)信息安全等級(jí)的確定
依據(jù)信息受到破壞時(shí)所侵害的客體以及侵害程度,,確定業(yè)務(wù)信息安全等級(jí),。
(二)系統(tǒng)服務(wù)安全保護(hù)等級(jí)的確定
1.系統(tǒng)服務(wù)描述
描述信息系統(tǒng)的服務(wù)范圍,、服務(wù)對(duì)象等,。
2.系統(tǒng)服務(wù)受到破壞時(shí)所侵害客體的確定
說(shuō)明系統(tǒng)服務(wù)受到破壞時(shí)侵害的客體是什么,即對(duì)三個(gè)客體(國(guó)家安全,;社會(huì)秩序和公眾利益,;公民、法人和其他組織的合法權(quán)益)中的哪些客體造成侵害,。
3.系統(tǒng)服務(wù)受到破壞后對(duì)侵害客體的侵害程度的確定
說(shuō)明系統(tǒng)服務(wù)受到破壞后,,會(huì)對(duì)侵害客體造成什么程度的侵害,即說(shuō)明是一般損害,、嚴(yán)重?fù)p害還是特別嚴(yán)重?fù)p害,。
4.系統(tǒng)服務(wù)安全等級(jí)的確定
依據(jù)系統(tǒng)服務(wù)受到破壞時(shí)所侵害的客體以及侵害程度確定系統(tǒng)服務(wù)安全等級(jí)。
?。ㄈ┌踩Wo(hù)等級(jí)的確定
信息系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定,,最終確定 XXX 系統(tǒng)安全保護(hù)等級(jí)為第幾級(jí)。
|
信息系統(tǒng)名稱(chēng)
|
安全保護(hù)等級(jí)
|
業(yè)務(wù)信息安全等級(jí)
|
系統(tǒng)服務(wù)安全等級(jí)
|
|
XXX信息系統(tǒng)
|
X
|
X
|
X
|
附件 2
信息系統(tǒng)安全等級(jí)保護(hù)
備案表
備 案 單 位:
備 案 日 期:
受理備案單位: (蓋章)
受 理 日 期:
中華人民共和國(guó)公安部監(jiān)制
填 表 說(shuō) 明
一,、 制表依據(jù),。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))之規(guī)定,制作本表,;
二,、 填表范圍。 本 表由第二級(jí)以上信息系統(tǒng)運(yùn)營(yíng)使用單位或主管部門(mén)(以下簡(jiǎn)稱(chēng)“備案單位”)填寫(xiě),;本表由四張表單構(gòu)成,,表一為單位信息,每個(gè)填表單位填寫(xiě)一張,;表二為信 息 系統(tǒng)基本信息,,表三為信息系統(tǒng)定級(jí)信息,表二,、表三每個(gè)信息系統(tǒng)填寫(xiě)一張,;表四為第三級(jí)以上信息系統(tǒng)需要同時(shí)提交的內(nèi)容,由每個(gè)第三級(jí)以上信息系統(tǒng)填 寫(xiě)一 張,,并在完成系統(tǒng)建設(shè),、整改,、測(cè)評(píng)等工作,投入運(yùn)行后三十日內(nèi)向受理備案公安機(jī)關(guān)提交,;表二,、表三、表四可以復(fù)印使用,;
三,、 保存方式。本表一式二份,,一份由備案單位保存,一份由受理備案公安機(jī)關(guān)存檔,;
四,、 本表中有選擇的地方請(qǐng)?jiān)谶x項(xiàng)左側(cè)“0”劃“√”,如選擇“其他”,,請(qǐng)?jiān)谄浜蟮臋M線(xiàn)中注明詳細(xì)內(nèi)容,;
五、 封面中備案表編號(hào)(由受理備案的公安機(jī)關(guān)填寫(xiě)并校驗(yàn)):分兩部分共11位,,第一部分6位,,為受理備案公安機(jī)關(guān)代碼前六位(可參照 行標(biāo)GA380-2002)。第二部分5位,,為受理備案的公安機(jī)關(guān)給出的備案單位的順序編號(hào),;
六、 封面中備案單位:是指負(fù)責(zé)運(yùn)營(yíng)使用信息系統(tǒng)的法人單位全稱(chēng),;
七,、 封面中受理備案單位:是指受理備案的公安機(jī)關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門(mén)名稱(chēng)。此項(xiàng)由受理備案的公安機(jī)關(guān)負(fù)責(zé)填寫(xiě)并蓋章,;
八,、 表一04行政區(qū)劃代碼:是指?jìng)浒竼挝凰诘牡?區(qū)、市,、州,、盟)行政區(qū)劃代碼;
九,、 表一05單位負(fù)責(zé)人:是指主管本單位信息安全工作的領(lǐng)導(dǎo),;
十、 表一06責(zé)任部門(mén):是指單位內(nèi)負(fù)責(zé)信息系統(tǒng)安全工作的部門(mén),;
十一,、 表一08隸屬關(guān)系:是指信息系統(tǒng)運(yùn)營(yíng)使用單位與上級(jí)行政機(jī)構(gòu)的從屬關(guān)系,須按照單位隸屬關(guān)系代碼(GB/T12404―1997)填寫(xiě),;
十二,、 表二02系統(tǒng)編號(hào):是由運(yùn)營(yíng)使用單位給出的本單位備案信息系統(tǒng)的編號(hào),;
十三、 表二05系統(tǒng)網(wǎng)絡(luò)平臺(tái):是指系統(tǒng)所處的網(wǎng)絡(luò)環(huán)境和網(wǎng)絡(luò)構(gòu)架情況,;
十四,、 表二07關(guān)鍵產(chǎn)品使用情況:國(guó)產(chǎn)品是指系統(tǒng)中該類(lèi)產(chǎn)品的研制、生產(chǎn)單位是由中國(guó)公民,、法人投資或者國(guó)家投資或者控股,,在中華人民共和國(guó)境內(nèi)具有獨(dú)立的法人資格,產(chǎn)品的核心技術(shù),、關(guān)鍵部件具有我國(guó)自主知識(shí)產(chǎn)權(quán),;
十五、 表二08系統(tǒng)采用服務(wù)情況:國(guó)內(nèi)服務(wù)商是指服務(wù)機(jī)構(gòu)在中華人民共和國(guó)境內(nèi)注冊(cè)成立(港澳臺(tái)地區(qū)除外),,由中國(guó)公民,、法人或國(guó)家投資的企事業(yè)單位;
十六,、 表三01,、02、03項(xiàng):填寫(xiě)上述三項(xiàng)內(nèi)容,,確定信息系統(tǒng)安全保護(hù)等級(jí)時(shí)可參考《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》,,信息系統(tǒng)安全保護(hù)等級(jí)由業(yè)務(wù)信息安全等級(jí)和系統(tǒng)服務(wù)安全等級(jí)較高者決定。01,、02項(xiàng)中每一個(gè)確定的級(jí)別所對(duì)應(yīng)的損害客體及損害程度可多選,;
十七、 表三06主管部門(mén):是指對(duì)備案單位信息系統(tǒng)負(fù)領(lǐng)導(dǎo)責(zé)任的行政或業(yè)務(wù)主管單位或部門(mén),。部級(jí)單位此項(xiàng)可不填,;
十八、 解釋?zhuān)罕颈碛晒膊抗残畔⒕W(wǎng)絡(luò)安全監(jiān)察局監(jiān)制并負(fù)責(zé)解釋?zhuān)唇?jīng)允許,,任何單位和個(gè)人不得對(duì)本表進(jìn)行改動(dòng),。
表一 單位基本情況
|
01 單位名稱(chēng)
|
|
|
02 單位地址
|
|
|
03 郵政編碼
|
|
|
|
|
|
|
|
04 行政區(qū)劃代碼
|
|
|
|
|
|
|
|
|
05 單位
負(fù)責(zé)人
|
姓 名
|
|
職務(wù)/職稱(chēng)
|
|
|
辦公電話(huà)
|
|
電子郵件
|
|
|
06 責(zé)任部門(mén)
|
|
|
07 責(zé)任部門(mén)
聯(lián)系人
|
姓 名
|
|
職務(wù)/職稱(chēng)
|
|
|
辦公電話(huà)
|
|
電子郵件
|
|
|
移動(dòng)電話(huà)
|
|
|
08 隸屬關(guān)系
|
01中央 02省(自治區(qū)、直轄市) 03地(區(qū),、市,、州、盟)
04縣(區(qū),、市,、旗) 09其他
|
|
09 單位類(lèi)型
|
01黨委機(jī)關(guān) 02政府機(jī)關(guān) 03事業(yè)單位 04企業(yè) 09其他
|
|
10 行業(yè)類(lèi)別
|
011電信 012廣電 013經(jīng)營(yíng)性公眾因特網(wǎng)
021鐵路 022銀行 023海關(guān) 024稅務(wù)
025民航 026電力 027證券 028保險(xiǎn)
031國(guó)防科技工業(yè) 032公安 033人事勞動(dòng)和社會(huì)保障 034財(cái)政
035審計(jì) 036商業(yè)貿(mào)易 037國(guó)土資源 038能源
039交通 040統(tǒng)計(jì) 041工商行政管理 042郵政
043教育 044文化 045衛(wèi)生 046農(nóng)業(yè)
047水利 048外交 049發(fā)展改革 050科技
051宣傳 052質(zhì)量監(jiān)督檢驗(yàn)檢疫 099其他
|
|
11 信息系統(tǒng)
總數(shù)
|
個(gè)
|
12 第二級(jí)信息系統(tǒng)數(shù)
|
個(gè)
|
13 第三級(jí)信息系統(tǒng)數(shù)
|
個(gè)
|
|
14 第四級(jí)信息系統(tǒng)數(shù)
|
個(gè)
|
15 第五級(jí)信息系統(tǒng)數(shù)
|
個(gè)
|
表二 信息系統(tǒng)情況
|
01 系統(tǒng)名稱(chēng)
|
|
02 系統(tǒng)編號(hào)
|
|
|
|
|
|
03 系統(tǒng)
承載
業(yè)務(wù)
情況
|
業(yè)務(wù)類(lèi)型
|
01生產(chǎn)作業(yè) 02指揮調(diào)度 03管理控制 04內(nèi)部辦公
005公眾服務(wù) 09其他
|
|
業(yè)務(wù)描述
|
|
|
04 系統(tǒng)
服務(wù)
情況
|
服務(wù)范圍
|
010全國(guó) 011跨省(區(qū),、市) 跨 個(gè)
020全?。▍^(qū)、市) 021跨地(市,、區(qū)) 跨 個(gè)
030地(市,、區(qū))內(nèi)
099其他
|
|
服務(wù)對(duì)象
|
01單位內(nèi)部人員 02社會(huì)公眾人員 03兩者均包括 09其他
|
|
05 系統(tǒng)
網(wǎng)絡(luò)
平臺(tái)
|
覆蓋范圍
|
01局域網(wǎng) 02城域網(wǎng) 03廣域網(wǎng) 09其他
|
|
網(wǎng)絡(luò)性質(zhì)
|
01業(yè)務(wù)專(zhuān)網(wǎng) 02因特網(wǎng) 09其他
|
|
06 系統(tǒng)互聯(lián)情況
|
01與其他行業(yè)系統(tǒng)連接 02與本行業(yè)其他單位系統(tǒng)連接
03與本單位其他系統(tǒng)連接 09其他
|
|
07 關(guān)鍵產(chǎn)品使用情況
|
序號(hào)
|
產(chǎn)品類(lèi)型
|
數(shù)量
|
使用國(guó)產(chǎn)品率
|
|
全部使用
|
全部未使用
|
部分使用及使用率
|
|
1
|
安全專(zhuān)用產(chǎn)品
|
|
0
|
0
|
0%
|
|
2
|
網(wǎng)絡(luò)產(chǎn)品
|
|
0
|
0
|
0%
|
|
3
|
操作系統(tǒng)
|
|
0
|
0
|
0%
|
|
4
|
數(shù)據(jù)庫(kù)
|
|
0
|
0
|
0%
|
|
5
|
服務(wù)器
|
|
0
|
0
|
0%
|
|
6
|
其他
|
|
0
|
0
|
0%
|
|
08 系統(tǒng)采用服務(wù)情況
|
序號(hào)
|
服務(wù)類(lèi)型
|
服務(wù)責(zé)任方類(lèi)型
|
|
本行業(yè)(單位)
|
國(guó)內(nèi)其他服務(wù)商
|
國(guó)外服務(wù)商
|
|
1
|
等級(jí)測(cè)評(píng)
|
0有0無(wú)
|
0
|
0
|
0
|
|
2
|
風(fēng)險(xiǎn)評(píng)估
|
0有0無(wú)
|
0
|
0
|
0
|
|
3
|
災(zāi)難恢復(fù)
|
0有0無(wú)
|
0
|
0
|
0
|
|
4
|
應(yīng)急響應(yīng)
|
0有0無(wú)
|
0
|
0
|
0
|
|
5
|
系統(tǒng)集成
|
0有0無(wú)
|
0
|
0
|
0
|
|
6
|
安全咨詢(xún)
|
0有0無(wú)
|
0
|
0
|
0
|
|
7
|
安全培訓(xùn)
|
0有0無(wú)
|
0
|
0
|
0
|
|
8
|
其他
|
0
|
0
|
0
|
|
09 等級(jí)測(cè)評(píng)單位名稱(chēng)
|
|
|
10 何時(shí)投入運(yùn)行使用
|
|
|
11 系統(tǒng)是否是分系統(tǒng)
|
0是 0否(如選擇是請(qǐng)?zhí)钕聝身?xiàng))
|
|
12 上級(jí)系統(tǒng)名稱(chēng)
|
|
|
13 上級(jí)系統(tǒng)所屬單位名稱(chēng)
|
|
表三 信息系統(tǒng)定級(jí)情況
|
01 確定
業(yè)務(wù)
信息
安全
保護(hù)
等級(jí)
|
損害客體及損害程度
|
級(jí)別
|
|
0僅對(duì)公民,、法人和其他組織的合法權(quán)益造成損害
|
0第一級(jí)
|
|
0對(duì)公民、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害
0對(duì)社會(huì)秩序和公共利益造成損害
|
0第二級(jí)
|
|
0對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害
0對(duì)國(guó)家安全造成損害
|
0第三級(jí)
|
|
0對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害
0對(duì)國(guó)家安全造成嚴(yán)重?fù)p害
|
0第四級(jí)
|
|
0對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害
|
0第五級(jí)
|
|
02 確定
系統(tǒng)
服務(wù)
安全
保護(hù)
等級(jí)
|
0僅對(duì)公民,、法人和其他組織的合法權(quán)益造成損害
|
0第一級(jí)
|
|
0對(duì)公民,、法人和其他組織的合法權(quán)益造成嚴(yán)重?fù)p害
0對(duì)社會(huì)秩序和公共利益造成損害
|
0第二級(jí)
|
|
0對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害
0對(duì)國(guó)家安全造成損害
|
0第三級(jí)
|
|
0對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害
0對(duì)國(guó)家安全造成嚴(yán)重?fù)p害
|
0第四級(jí)
|
|
0對(duì)國(guó)家安全造成特別嚴(yán)重?fù)p害
|
0第五級(jí)
|
|
03 信息系統(tǒng)安全保護(hù)等級(jí)
|
0第一級(jí) 0第二級(jí) 0第三級(jí) 0第四級(jí) 0第五級(jí)
|
|
04 定級(jí)時(shí)間
|
|
|
05 專(zhuān)家評(píng)審情況
|
0已評(píng)審 0未評(píng)審
|
|
06 是否有主管部門(mén)
|
0有 0無(wú)(如選擇有請(qǐng)填下兩項(xiàng))
|
|
07 主管部門(mén)名稱(chēng)
|
|
|
08 主管部門(mén)審批定級(jí)情況
|
0已審批 0未審批
|
|
09 系統(tǒng)定級(jí)報(bào)告
|
0有 0無(wú) 附件名稱(chēng)
|
|
填表人:
|
填表日期: 年 月 日
|
備案審核民警:
